近日，我司监测到Apache发布安全公告，修复了六个存在于 Apache Traffic Server中的安全漏洞。

Apache Traffic Server（ATS）是美国阿帕奇（Apache）基金会的一套可扩展的HTTP代理和缓存服务器。

漏洞详情如下：

CVE-2021-37150 Apache Traffic Server 授权不当

漏洞类型：授权不当

风险等级：中危

漏洞描述：该漏洞是由于在处理不同的协议和方案时出现错误而存在的。远程攻击者可以发送特制的 HTTP 请求，绕过实施的安全限制并获得对受保护资源的未经授权的访问。

CVE-2022-25763 Apache Traffic Server HTTP请求走私

漏洞类型：HTTP请求走私

风险等级：中危

漏洞描述：该漏洞是由于对 HTTP/2 请求的不正确验证而存在的。远程攻击者可以向服务器发送特制的 HTTP/2 请求并走私任意 HTTP 标头。

CVE-2022-28129 Apache Traffic Server HTTP请求走私

漏洞类型：HTTP请求走私

风险等级：中危

漏洞描述：该漏洞是由于对 HTTP 请求的不正确验证而存在的。远程攻击者可以向服务器发送特制的 HTTP 请求并走私任意 HTTP 标头。

CVE-2022-31780 Apache Traffic Server HTTP请求走私

漏洞类型：HTTP请求走私

风险等级：中危

漏洞描述：该漏洞是由于对 HTTP/2 帧的不正确验证而存在的。远程攻击者可以向服务器发送特制的 HTTP/2 请求并走私任意 HTTP 标头。

CVE-2022-31778 Apache Traffic Server HTTP请求走私

漏洞类型：HTTP请求走私

风险等级：中危

漏洞描述：该漏洞是由于对 Transfer-Encoding 标头的验证不当而存在的。远程攻击者可以向服务器发送特制的 HTTP 请求并走私任意 HTTP 标头。

CVE-2022-31779 Apache Traffic Server HTTP请求走私

漏洞类型：HTTP请求走私

风险等级：中危

漏洞描述：该漏洞是由于对 HTTP/2 标头的不正确验证而存在的。远程攻击者可以向服务器发送特制的 HTTP/2 请求并走私任意 HTTP 标头。

影响版本：

• 8.0.0 <= ATS <= 8.1.4
• 9.0.0 <= ATS <= 9.1.2

安全版本：

• ATS >= 8.1.5
• ATS >= 9.1.3

修复建议：

官方已发布安全版本，请及时下载更新,下载地址:

https://trafficserver.apache.org/downloads